© Stadtratte / Getty Images/iStockphoto

Datenschutz und COVID-19

Vermehrt treten Unternehmen an uns heran, um sich über die datenschutzrechtlichen Fragestellungen im Zusammenhang mit COVID-19 zu informieren.

Fragen des Datenschutzes stehen bei der aktuellen Corona-Pandemie sicherlich nicht im Fokus, sollten aber auch in Notsituationen stets in die Überlegungen mit einbezogen werden und erleichtern letztendlich die Bewältigung der Krise. Umsichtiges und besonnenes Handeln erfordert daher immer auch die Beachtung der gesetzlichen Vorgaben, die eine Umsetzung der datenschutzrechtlichen Vorgaben sowie die Berücksichtigung der Arbeitnehmerrechte erfordern.

Dabei gelten die insbesondere aus der Datenschutz-Grundverordnung (DS-GVO) bekannten Grundsätze: Der jeweilige Betroffene ist und bleibt „Herr seiner Daten“, gerade auch seiner besonders sensiblen Gesundheitsdaten. Selbstverständlich sollte jeder verantwortlich mit einer COVID-19-Infektion oder einer möglichen Erkrankung umgehen und dabei auch den Schutz von Kolleginnen und Kollegen immer mit bedenken. Daraus kann sich sogar eine arbeitsvertragliche Pflicht ergeben, um durch Angaben über Aufenthaltsorte oder Kontaktpersonen dem Arbeitgeber eine Einschätzung zu ermöglichen, ob Gesundheitsrisiken für den Betroffenen oder andere Beschäftigte bestehen. Konkrete Angaben zur eigenen Gesundheit müssen Arbeitnehmer allerdings gegenüber ihrem Arbeitgeber nicht machen – eine Auskunftspflicht oder die Pflicht, sich einer ärztlichen Untersuchung zu unterziehen, kann allerdings bei begründetem Verdacht einer COVID-19-Infektion gegenüber Gesundheitsbehörden bestehen.

Der Arbeitgeber hat umgekehrt Fürsorgepflichten gegenüber allen Arbeitnehmern und muss Gesundheitsrisiken am Arbeitsplatz soweit wie möglich ausschließen. Ermittlungs- und Eingriffsbefugnisse gegenüber den Arbeitnehmern stehen aber in der Regel nicht ihm, sondern den Gesundheitsbehörden zu. Arbeitgeber sind daher gut beraten, im Zweifel den Kontakt zu den Gesundheitsbehörden zu suchen und nicht „auf eigene Faust“, schon gar nicht gegen den Willen der Beschäftigten Gesundheitsdaten zu erheben.​

Weitere Informationen zum Thema COVID-19 und Datenschutz mit einer FAQ-Übersicht finden Sie zum Beispiel auf der Webseite der Kanzlei HÄRTING Rechtsanwälte.

Ausgewählte Links mit den Informationen der Datenschutzaufsichtsbehörden finden Sie nachfolgend:

 

Neues Kompendium für Videokonferenzsysteme

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das "Kompendium Videokonferenzsysteme" vorgestellt. Mehr dazu unter: https://www.wuerzburg.ihk.de/coronavirus/meldungen-zum-coronavirus/artikel/neues-kompendium-fuer-videokonferenzsysteme.html

Corona-Gästeregistrierung: Datenschutzbeschwerden häufen sich

Bei dem auch für mainfränkische Unternehmen zuständigen Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) häufen sich die Beschwerden von Gästen, die sich über die datenschutzrechtlich laxe Behandlung von Gästeregistrierungsdaten in Gastronomiebetrieben beklagen. Insbesondere geht es darum, dass häufig fortlaufende Listen benutzt werden, in die alle Gäste Einblick haben. Das BayLDA kündigt in diesem Zusammenhang für Wiederholungstäter Verwarnungen und eventuell auch Außenprüfungen an.

Was müssen Gastronomiebetriebe bei der Gästeregistrierung datenschutzrechtlich beachten?

Welche Daten müssen zur Gästeregistrierung erhoben werden?
Kontaktdaten (Name und E-Mail-Adresse, Telefonnummer oder postalische Adresse) von einer Person eines Hausstandes.

Wie müssen die Daten erhoben werden?
Dafür gibt es keine genaue Vorgabe. Die Daten können sowohl auf Papier als auch elektronisch erhoben werden. Es muss dabei aber sicher gestellt werden, dass die Daten nicht von anderen Gästen eingesehen werden können. Sie dürfen beispielsweise keine Liste aller Gäste weitergeben. Entweder tragen sich die Gäste jeweils auf ein eigenes Blatt ein oder der Gastwirt übernimmt die Datenaufnahmen.

Wie müssen die Daten aufbewahrt werden?
Die Daten müssen so aufbewahrt werden, dass kein Dritter sie einsehen kann. Die Registrierungsbögen dürfen also nicht offen herumliegen. Sie müssen nach Dienstschluss sicher verwahrt (eingeschlossen werden).

Wie lange müssen die Daten aufbewahrt werden?
Einen Monat müssen Sie die Daten aufbewahren. Danach müssen sie datenschutzkonform vernichtet werden (z. B. Vernichtung durch Aktenschredder).

Wer bekommt die Daten?
Die Daten dürfen nur auf Anweisung des Gesundheitsamtes zur Nachverfolgung von Infektionsketten weitergegeben werden.

Dürfen die erhobenen Daten zu einem anderen Zweck weiterverwendet werden?
Nein. Die Daten dürfen nicht für Marketingaktionen oder ähnliches verwendet werden.

Was ist sonst noch zu beachten?
Bei der Datenaufnahmen müssen Sie Ihre Gäste informieren, weshalb Sie die Kontaktdaten aufnehmen.

Weitergehende Hinweise des BayLDA sowie Muster-Formulare für die Gästeregistrierung zum Download finden Sie unter:

https://www.lda.bayern.de/de/thema_corona_gastronomie.html

Darf die Corona-Warn-App zur Zugangsvoraussetzung für bestimmte Orte gemacht werden?

Darf ein Arbeitgeber seine Beschäftigten verpflichten, die Corona-Warn-App auf ihren Smartphones zu nutzen?

Antwort: Nein, das ist datenschutzrechtlich unzulässig. Kein Beschäftigter darf verpflichtet werden, durchgängig seine Kontakte und seinen Gesundheitszustand erfassen zu lassen. Dies gilt umso mehr, als eine Erfassung überhaupt nur sinnvoll wäre, wenn sie auch während der Freizeit stattfinden würde. Ein solch massiver Eingriff in die Freiheit des Beschäftigten ist nicht zulässig, da dem Arbeitgeber zum Schutz seiner Beschäftigten mildere Mittel in der Form der allgemeinen Hygienemaßnahmen zur Verfügung stehen. Ein solches Vorgehen würde zudem die vom Anbieter der App, dem Robert-Koch-Institut, in seinen Nutzungsbedingungen festgelegte Freiwilligkeit der Nutzung der App unterlaufen.Diese Rechtslage gilt für private Geräte der Beschäftigten wie für dienstlich bereitgestellte Geräte gleichermaßen.Der Arbeitgeber kann die Nutzung der App im Übrigen auch nicht auf Basis einer Einwilligung der Beschäftigten verlangen. Die Einwilligung wäre aufgrund des Ungleichgewichts im Beschäftigungsverhältnis in aller Regel als nicht freiwillig und damit datenschutzrechtlich unwirksam anzusehen. Als Datenschutzaufsichtsbehörden werden wir die Einhaltung dieser Vorgaben kontrollieren. Zuwiderhandlungen stellen einen grundlegenden Datenschutzverstoß dar, gegen den das Bayerische Landesamt für Datenschutzaufsicht auch mit der Verhängung von Geldbußen vorgehen wird.

Dürfen Ladengeschäfte, Supermärkte, Gastronomen, Beherbergungsbetriebe, Veranstalter etc. die Benutzung der Corona-Warn-App zur Zugangsvoraussetzung für ihre Räumlichkeiten machen?

Antwort: Nein, das wäre datenschutzrechtlich unzulässig. Der Zugang zu Räumlichkeiten und Leistungen, die grundsätzlich für jedermann offen stehen, darf nicht von der Nutzung der Corona-Warn-App abhängig gemacht werden. Geschäftsinhaber und andere, die die App als Mittel der Zugangskontrolle einsetzen, sind für diese Datenverarbeitung zu diesem Zweck (Zugangskontrolle) datenschutzrechtlich selbst als Verantwortliche einzustufen. Diese Nutzung ist nicht von der vom Nutzer durch seine Einwilligung bei Installation und Inbetriebnahme erteilten Einwilligung und im Übrigen auch nicht von den Nutzungsbedingungen der Coronavirus-Warn-App selbst umfasst. Für diese Zweckänderung bei der Nutzung der App als Instrument der Zugangskontrollen besteht auch keine andere hinreichende Rechtsgrundlage. Hinzu kommt, dass die von der App erzeugten Status-Daten keine ausreichenden Rückschlüsse auf eine Corona-Infektion geben und die Zugangskontrolle daher bereits keine geeignete Maßnahme darstellt, um berechtigte (geschäftliche) Interessen des Ladeninhabers, Gastronoms etc. zu wahren.Auch eine (behauptete) Einwilligung des Kunden wäre für diese Fälle keine datenschutzrechtlich tragfähige Lösung, da es sich nicht um eine Situation echter Freiwilligkeit handeln würde.Ein solches Vorgehen würde zudem die vom Anbieter der App, dem Robert-Koch-Institut, in seinen Nutzungsbedingungen festgelegte Freiwilligkeit der Nutzung der App unterlaufen.Als Datenschutzaufsichtsbehörden werden wir die Einhaltung dieser Vorgaben kontrollieren. Zuwiderhandlungen stellen einen grundlegenden Datenschutzverstoß dar, gegen den das Bayerische Landesamt für Datenschutzaufsicht auch mit der Verhängung von Geldbußen vorgehen wird.

 

Weitere Informationen dazu finden Sie auf der Seite des Bayerischen Landesamt für Datenschutz

Haftungsklausel

Die Informationen, die Merkblätter und Links enthalten, sind mit größter Sorgfalt zusammengestellt worden. Eine Gewähr für die Richtigkeit können wir nicht übernehmen

Ansprechpartner

RA Jan-Markus Momberg

Syndikusrechtsanwalt

Bereichsleiter Justiziariat, Politik- und Ehrenamtskoordination

Würzburg

Telefon: 0931 4194-348

E-Mail: jan-markus.momberg@ wuerzburg.ihk.de

Kontaktformular

Julia Holleber

M.A. Innovationsmanagement

Referentin Informations- und Kommunikationstechnik | E-Business

Würzburg

Telefon: 0931 4194-317

E-Mail: julia.holleber@ wuerzburg.ihk.de

Kontaktformular